Microsoft Defender XDR을 사용하여 데이터 손실 방지 경고 조사
적용 대상:
- Microsoft Defender XDR
Microsoft Defender 포털에서 DLP(Microsoft Purview 데이터 손실 방지) 경고를 관리할 수 있습니다. Microsoft Defender 포털의 빠른 시작에서 인시던트 & 인시던트 경고를> 엽니다. 이 페이지에서 다음을 수행할 수 있습니다.
- Microsoft Defender XDR 인시던트 큐의 인시던트 아래에 그룹화된 모든 DLP 경고를 봅니다.
- 단일 인시던트에서 지능형 솔루션 간(DLP-MDE, DLP-MDO) 및 DLP-DLP(솔루션 내) 상호 관련된 경고를 봅니다.
- 고급 헌팅에서 보안과 함께 규정 준수 로그를 헌팅합니다.
- 사용자, 파일 및 디바이스에 대한 현재 위치 관리자 수정 작업입니다.
- 사용자 지정 태그를 DLP 인시던트에 연결하고 필터링합니다.
- DLP 정책 이름, 태그, 날짜, 서비스 원본, 인시던트 상태 및 통합 인시던트 큐의 사용자별로 필터링합니다.
팁
Microsoft Sentinel의 Microsoft Defender XDR 커넥터를 사용하여 조사 및 수정을 위해 이벤트 및 증거와 함께 DLP 인시던트도 Microsoft Sentinel로 끌어올 수 있습니다.
라이선스 요구사항
Microsoft Defender 포털에서 Microsoft Purview 데이터 손실 방지 인시던트 조사를 수행하려면 다음 구독 중 하나의 라이선스가 필요합니다.
- Microsoft Office 365 E5/A5
- Microsoft 365 E5/A5
- Microsoft 365 E5/A5 규정 준수
- Microsoft 365 E5/A5 Information Protection 및 거버넌스
참고
라이선스가 부여되고 이 기능에 적합한 경우 DLP 경고가 자동으로 Microsoft Defender XDR 전달됩니다. DLP 경고가 Defender로 전달되지 않도록 하려면 지원 사례를 열어 이 기능을 사용하지 않도록 설정합니다. 이 기능을 사용하지 않도록 설정하면 Office 경고에 대한 Microsoft Defender DLP 경고가 Defender 포털에 표시됩니다.
역할
Microsoft Defender 포털에서 경고에 최소한의 권한만 부여하는 것이 가장 좋습니다. 이러한 역할을 사용하여 사용자 지정 역할을 만들고 DLP 경고를 조사해야 하는 사용자에게 할당할 수 있습니다.
| 사용 권한 | Defender 경고 액세스 |
|---|---|
| 알림 관리 | DLP + 보안 |
| 경고 관리 View-Only | DLP + 보안 |
| Information Protection 분석가 | DLP만 |
| DLP 규정 준수 관리 | DLP만 |
| DLP 규정 준수 관리 View-Only | DLP만 |
시작하기 전에
Microsoft Purview 규정 준수 포털모든 DLP 정책에 대한 경고를 켭니다.
참고
관리 단위 제한은 DLP(데이터 손실 방지)에서 Defender 포털로 흐릅니다. 관리 단위 제한 관리자인 경우 관리 단위에 대한 DLP 경고만 표시됩니다.
Microsoft Defender 포털에서 DLP 경고 조사
Microsoft Defender 포털로 이동하고 왼쪽 탐색 메뉴에서 인시던트 를 선택하여 인시던트 페이지를 엽니다.
오른쪽 위에서 필터를 선택하고 서비스 원본: 데이터 손실 방지 를 선택하여 DLP 경고가 있는 모든 인시던트 보기 다음은 미리 보기에서 사용할 수 있는 하위 필터의 몇 가지 예입니다.
- 사용자 및 디바이스 이름별
- (미리 보기) 엔터티 필터에서 파일 이름, 사용자, 디바이스 이름 및 파일 경로를 검색할 수 있습니다.
- (미리 보기) 인시던트 큐 >경고 정책> 경고 정책 제목입니다. DLP 정책 이름을 검색할 수 있습니다.
관심 있는 경고 및 인시던트의 DLP 정책 이름에 대한 Search.
인시던트 요약 페이지를 보려면 큐에서 인시던트 를 선택합니다. 마찬가지로 경고를 선택하여 DLP 경고 페이지를 봅니다.
경고에서 검색된 정책 및 중요한 정보 유형에 대한 자세한 내용은 경고 스토리를 참조하세요. 관련 이벤트 섹션에서 이벤트를 선택하여 사용자 활동 세부 정보를 확인합니다.
필요한 권한이 있는 경우 중요한 정보 유형 탭에서 일치하는 중요한 콘텐츠와 원본 탭의 파일 콘텐츠를 봅니다( 자세한 내용은 여기 참조).
고급 헌팅을 사용하여 DLP 경고 조사 확장
고급 헌팅은 조사에 도움이 되는 사용자, 파일 및 사이트 위치의 감사 로그를 최대 30일 동안 탐색할 수 있는 쿼리 기반 위협 헌팅 도구입니다. 네트워크의 이벤트를 사전에 검사하여 위협 지표와 엔터티를 찾을 수 있습니다. 데이터에 대한 유연한 액세스를 통해 알려진 위협과 잠재적인 위협 모두에 대해 제한 없이 헌팅할 수 있습니다.
CloudAppEvents 테이블에는 SharePoint, OneDrive, Exchange 및 디바이스와 같은 모든 위치의 모든 감사 로그가 포함되어 있습니다.
시작하기 전에
고급 헌팅을 접하는 경우 고급 헌팅 시작을 검토해야 합니다.
사전 헌팅을 사용하려면 먼저 Microsoft Purview 데이터가 포함된 CloudAppEvents 테이블에 액세스할 수 있어야 합니다.
기본 제공 쿼리 사용
중요
이 기능은 미리 보기로 제공됩니다. 미리 보기 기능은 프로덕션용이 아니며 기능이 제한되었을 수 있습니다. 이러한 기능은 공식 릴리스 전에 사용할 수 있으므로 고객은 조기에 액세스하고 피드백을 제공할 수 있습니다.
Defender 포털은 DLP 경고 조사에 도움이 되는 데 사용할 수 있는 여러 기본 제공 쿼리를 제공합니다.
- Microsoft Defender 포털로 이동하고 왼쪽 탐색 메뉴에서 인시던트 & 경고를 선택하여 인시던트 페이지를 엽니다. 인시던트 를 선택합니다.
- 오른쪽 위에서 필터를 선택하고 서비스 원본: 데이터 손실 방지 를 선택하여 DLP 경고가 있는 모든 인시던트 보기
- DLP 인시던트 열기
- 경고를 선택하여 연결된 이벤트를 확인합니다.
- 이벤트를 선택합니다.
- 이벤트 세부 정보 창에서 Go Hunt 컨트롤을 선택합니다.
- Defender는 이벤트의 원본 위치와 관련된 기본 제공 쿼리 목록을 보여 줍니다. 예를 들어 이벤트가 SharePoint에서 온 경우
- 공유된 파일
- 파일 활동
- 사이트 활동
- 지난 30일 동안 사용자 DLP 위반
- Defender는 이벤트의 원본 위치와 관련된 기본 제공 쿼리 목록을 보여 줍니다. 예를 들어 이벤트가 SharePoint에서 온 경우
- 쿼리를 즉시 실행 하거나, 시간 범위를 변경하고, 나중에 사용할 수 있도록 쿼리를 편집하거나 저장하도록 선택할 수 있습니다.
- 쿼리를 실행하면 결과 탭에서 결과를 봅니다.
메일 메시지에 대한 경고인 경우 작업> 전자메일 다운로드를 선택하여 메시지를 다운로드할 수 있습니다.
SharePoint Online 또는 비즈니스용 One Drive의 파일에 대한 경고인 경우 다음 작업을 수행할 수 있습니다.
- 보존 레이블 적용
- 해제
- 삭제
- 민감도 레이블 적용
- 다운로드(이 작업에는 데이터 분류 콘텐츠 뷰어 역할이 필요)
- 피드백 철회
수정 작업의 경우 경고 페이지 맨 위에 있는 사용자 카드 선택하여 사용자 세부 정보를 엽니다.
디바이스 DLP 경고의 경우 경고 페이지 맨 위에 있는 디바이스 카드 선택하여 디바이스 세부 정보를 보고 디바이스에서 수정 작업을 수행합니다.
인시던트 요약 페이지로 이동하여 인시던트 관리를 선택하여 인시던트 태그를 추가하거나, 인시던트를 할당하거나, resolve.
관련 문서
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기